水文站网站建设应当坚持,免费ppt下载,欧米茄手表价格官网,免费的网站域名和空间目录
一. 安全技术类型
二. linux防火墙
1. 按保护范围划分#xff1a;
2. 按实现方式划分#xff1a;
3. 按网络协议划分#xff1a;
4. 防火墙原理
三. 防火墙工具——iptables
1. netfilter 中五个勾子函数和报文流向
数据包传输过程#xff1a;
① .五表四链…目录
一. 安全技术类型
二. linux防火墙
1. 按保护范围划分
2. 按实现方式划分
3. 按网络协议划分
4. 防火墙原理
三. 防火墙工具——iptables
1. netfilter 中五个勾子函数和报文流向
数据包传输过程
① .五表四链
2 .iptable工具
① iptables原理
② iptables语法
Ⅰ语法
子命令command
通用匹配参数parameter
Ⅱ 查看iptables的规则
Ⅲ 添加规则
Ⅳ 删除规则
Ⅴ 修改默认规则 -P大写
Ⅵ 替换规则 -R
Ⅶ 隐含扩展
--tcp-flags mask comp
———————————————————————————————————————————
--source-port, --sport port[:port]
———————————————————————————————————————————
icmp允许本机ping其它主机禁止其它主机ping本机
Ⅷ 显示扩展模块
multiport扩展多端口扩展
iprange扩展
mac地址
string 字符串
time模块
connlimit扩展
state状态
开机自动重载规则 一. 安全技术类型
入侵检测系统只留下攻击记录不阻止主要以提供报警和事后监督为主。
入侵防御系统以透明模式工作分析数据包的内容如溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断在判定为攻击行为后立即予以阻断主动而有效的保护网络的安全一般采用在线部署方式。
防火墙隔离功能将不被允许访问的外网隔离在外。
防水墙是一种防止内部信息泄漏的安全产品。预防网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。
二. linux防火墙
linux防火墙是内核中的工具模块Linux防火墙是由Netfilter组件提供的Netfilter工作在内核空间集成在linux内核中
1. 按保护范围划分
主机防火墙服务范围为当前一台主机
网络防火墙服务范围为防火墙一侧的局域网
2. 按实现方式划分
硬件防火墙是服务器功能只有防火墙专用硬件级别实现部分功能的防火墙。如华为山石深信服等。
软件防火墙应用软件。
3. 按网络协议划分
网络层防火墙OSI模型下四层又称为包过滤防火墙
应用层防火墙/代理服务器proxy 代理网关OSI模型七层
4. 防火墙原理
数据包mac头部ip头部协议/端口7层协议 http真实数据校验位
防火墙会收包拆包看真实数据检查没问题再重新装包检查有问题隔离或者丢弃。 4层原理传输层协议端口号
7层原理控制真实数据 http协议dns协议dhcp协议等 正向代理代理的是客户端绕开防火墙限制加快访问速度
举例翻墙
反向代理代理的是服务端负载均衡
三. 防火墙工具——iptables
iptables是由软件包iptables提供的命令行工具工作在用户空间用来编写规则写好的规则被送往netfilter告诉内核如何去处理信息包
1. netfilter 中五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function函数用户通过命令工具iptables向其写入规则。 数据流量从网卡------内核netfilter
流量有两种一种是发给你的一种是需要你转发的。
数据包传输过程
1. 当一个数据包进入网卡时数据包首先进入PREROUTING链内核根据数据包目的IP判断是否需要转送出去。
2. 如果数据包是进入本机的数据包就会沿着图向下移动到达INPUT链。数据包到达INPUT链后 任何进程都会收到它。本机上运行的程序可以发送数据包这些数据包经过OUTPUT链然后到达
3. 如果数据包是要转发出去的且内核允许转发数据包就会向右移动经过FORWARD链然后到达POSTROUTING链输出
① .五表四链
五链五个勾子函数就是五个链
链的分类依据处理数据包的不同时机
作用控制流量的时机决定了在什么地方控制流量
链chain含义inputLOCAL_IN进入本机的流量outputLOCAL_OUT出去本机的流量forward转发流量prerouting路由选择前postrouting路由选择后
四表作用存放链决定如何控制流量
表中有链链中有规则选择合理的链做规则。
有些地方说五表是多了一个security表安全表
表含义raw表跟踪数据包mangle表标记优先级nat表地址转换filter表流量过滤。是否允许流量通过 2 .iptable工具
① iptables原理
Linux 的防火墙体系主要工作在网络层针对 TCP/IP 数据包实施过滤和限制属于典型的包过滤防火墙或称为网络层防火墙。Linux 系统的防火墙体系基于内核编码实现 具有非常稳定的性能和高效率也因此获得广泛的应用。
iptables由四个表table和五个链chain以及一些规则组成。
② iptables语法
Ⅰ语法
iptables -t 表 子命令 链 规则
filter是默认的表不写-t 选择表的话默认是它。 子命令command
命令效果-A 在指定链末尾追加一条规则 iptables -A INPUT 操作-I大写的i在指定链中插入一条新的未指定序号默认作为第一条 iptables -I INPUT 操作 -P大写 指定默认规则 iptables -P OUTPUT ACCEPT 操作 -D 删除规则 iptables -D 链 规则序号 如iptables -t nat -D INPUT 2 操作 -R 修改、替换某一条规则 iptables -t nat -R INPUT 操作 -L 查看 iptables -t nat -L 查看 -n 所有字段以数字形式显示比如任意ip地址是0.0.0.0而不是anywhere比如显示协议端口号而不是服务名 iptables -L -n,iptables -nL,iptables -vnL 查看常和vL一起使用 -v 查看时显示更详细信息常跟-L一起使用--line-num规则带编号 iptables -t nat -vnL --line-num-F 清除链中所有规则 iptables -F 操作 -N 新加自定义链-X大写 清空自定义链的规则不影响其他链 iptables -X -Z大写 清空链的计数器匹配到的数据包的大小和总和iptables -Z -S大写看链的所有规则或者某个链的规则/某个具体规则后面跟编号 通用匹配参数parameter
通用匹配直接使用不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件
协议匹配-p 协议名(tcp,icmp等)地址匹配-s 源地址-d 目的地址接口匹配-i 入站网卡-o 出站网卡端口匹配--sport 源端口--dport 目的端口
target:-j的选项jump
-j是数据包流向,防火墙规则匹配即停止即排在前面的规则序号被匹配了就不会执行下面的规则。
但是对于LOG操作时例外LOG只是辅助没有处理数据包
对数据包的操作效果-j ACCEPT允许数据包通过-j DROP直接丢弃数据包不给出任何回应信息-j REJECT拒绝数据包通过必要时会给数据发送端一个响应信息-j LOG 在/var/log/messages 文件中记录日志信息 然后将数据包传递给下一条规则 -j SNAT修改数据包的源地址-j DNAT修改数据包的目的地址-j MASQUERADE伪装成一个非固定公网IP地址
Ⅱ 查看iptables的规则
iptables -vnL [-t 表名]查询非fliter需要指明表
给规则加上序号iptables [-t 表名] -vnL --line-num Ⅲ 添加规则 -A 默认在末尾添加
-I大写的i需要指明序号
例 -I INPUT 1 就是在 INPUT链的规则第一条前添加规则我就变成第一条了。
Ⅳ 删除规则
iptables [-t 表名] -F 清空所有规则加上表就是清空对应表的所有规则
iptables -D 链 规则序号删除某一条规则 例iptables -t filter -D INPUT 2
不要轻易使用iptables -F容易导致与远程连接断开需要重启。
Ⅴ 修改默认规则 -P大写
修改成丢弃进入的数据包iptables -P INPUT DROP
修改成接收进入的数据包iptables -P INPUT ACCEPT
iptables [-t表名] -P 链名 控制类型
iptables 的各条链中默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时则执行默认策略。
默认策略的控制类型为 ACCEPT允许、DROP丢弃两种。
例如执行以下操作可以将 filter 表中 FORWARD 链的默认策略设为丢弃 OUTPUT 链的默认策略设为允许。
Ⅵ 替换规则 -R
iptables -A INPUT -s 192.168.91.101 -j DROP
#添加规则
iptables -R INPUT 1 -s 192.168.91.101 -j ACCEPT
#替换规则1是规则序号把DROP替换成ACCEPT
Ⅶ 隐含扩展
iptables 在使用-p选项指明了特定的协议时无需再用-m选项指明扩展模块的扩展机制不需要手动加载扩展模块
--tcp-flags mask comp mask是需检查的标志位列表用,分隔 , 例如 SYN,ACK,FIN,RST comp在mask列表中必须为1的标志位列表无指定则必须为0用,分隔tcp协议的扩展选项
例如
--tcp-flags SYN,ACK,FIN,RST SYN
表示要检查的标志位为SYN,ACK,FIN,RST四个其中SYN必须为1余下的必须为0第一次握手
--tcp-flags SYN,ACK,FIN,RST SYN,ACK
表示第二次握手
--tcp-flags ALL ALL --tcp_flags ALL NONE
iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT
#丢弃SYN请求包放行其他包
———————————————————————————————————————————
--source-port, --sport port[:port]
匹配报文源端口,可为端口连续范围
--sport 1000 匹配源端口是1000的数据包 --sport 1000:3000 匹配源端口是1000-3000的数据包 --sport :3000 匹配源端口是3000及以下的数据包 --sport 1000: 匹配源端口是1000及以上的数据包注意: --sport和--dport 必须配合-p 协议类型使用
iptables -A INPUT -p tcp --sport 10000:30000 -j REJECT
#源端口10000到30000 全部拒掉
———————————————————————————————————————————
icmp允许本机ping其它主机禁止其它主机ping本机
类型匹配: --icmp-type ICMP类型
ICMP类型详细可见网络的icmp部分可以写字符串、也可以写数字代码
Echo-Request (代码为8) 表示请求 Echo-Reply (代码为0)表示回复 Destination-Unreachable (代码为3) 表示目标不可达
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
#禁止其它主机ping本机
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
#允许本机ping其它主机
Ⅷ 显示扩展模块
显示扩展要用-m选项指明要调用的扩展模块名
multiport扩展多端口扩展
1. --source-ports,--sports port[,port|,port:port]... 指定多个源端口用逗号隔开
2. --destination-ports,--dports port[,port|,port:port]... 指定多个目标端口用逗号隔开
3. --ports port[,port|,port:port]... 多个源或目标端口
例
iptables -A INPUT -s 172.16.234.10 -p tcp -m multiport --dports 22,80 -j REJECT
#阻止ip地址来自172.16.234.1访问当前机器的tcp2280端口。用-m指明模块
iprange扩展
--src-range from[-to]源IP地址范围 --dst-range from[-to]目标IP地址范围
例
iptables -A INPUT -m iprange --src-range 172.16.234.10-172.16.234.13 -j REJECT
#指明源地址为172.16.234.10-172.16.234.13的3个地址无法访问当前主机
mac地址
mac 模块可以指明源MAC地址,适用于PREROUTING, FORWARDINPUT chains
-m mac [!] --mac-source XX:XX:XX:XX:XX:XX
!是取反
string 字符串
对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp} 字符串匹配检测算法 bmBoyer-Moore 算法 kmpKnuth-Pratt-Morris 算法
--from offset 开始查询的地方 --to offset 结束查询的地方
iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string bilibili -j REJECT
#注意 请求的包不带字符回复的包带字符所以要 output
time模块
根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 开始日期 --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 结束日期 --timestart hh:mm[:ss] 开始时间 --timestop hh:mm[:ss] 结束时间 [!] --monthdays day[,day...] 每个月的几号 [!] --weekdays day[,day...] 星期几1 – 7 分别表示星期一到星期日
例iptables -A INPUT -m time --timestart 14:00 --time 16:00 -j REJECT
connlimit扩展
根据每客户端IP做并发连接数数量匹配可防止Dos(Denial of Service拒绝服务)攻击
--connlimit-upto N #连接的数量小于等于N时匹配 --connlimit-above N #连接的数量大于N时匹配
state状态
状态类型
NEW新发出请求ESTABLISHEDNEW状态之后连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态RELATED新发起的但与已有连接相关联的连接INVALID无效的连接如flag标记不正确UNTRACKED未进行追踪的连接如raw表中关闭追踪
例 新用户不可以访问旧用户可以访问
ipatables -A INPUT -m state --state NEW -j REJECT
#新用户不可以访问
ipatables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#旧用户可以访问
开机自动重载规则
用脚本保存各个iptables命令让此脚本开机后自动运行
在etc/.bashrc文件中添加
在/etc/rc.d/rc.local文件添加
